Googleドライブにおけるラベル+DLPルールによるアクセス制御の運用を社内でリリースしてみた
2024.10.25クラスメソッドでは社内のファイル共有にGoogleドライブを利用していますが、最近このGoogleドライブでラベル機能とDLPのルールを組み合わせたアクセス制御が行える運用をスタートしました。具体的には、特定のラベルをファイルに設定することで
- 閲覧権限のユーザーのファイルのダウンロードや印刷をできなくする
- そのファイルの外部共有をブロックする
といったことが行えるようにしました。
今回はこの機能と運用の概要について簡単に説明したいと思います。
Googleドライブのラベル機能とは
Googleドライブ内のファイルにラベルを付ける機能です。付与されたラベルは、ファイルの詳細から確認することができます。
ラベルの公式ドキュメントはこちら。
利用者向けドキュメント:
管理者用ドキュメント:
Gmailでもメールに任意のラベルを設定してフィルタできるので、こちらは利用されている方も多いと思います。GoogleドライブのラベルがGmailのラベルと違うところとしては以下のような点が挙げられます。
- ラベル管理の権限を持っている人(ラベル管理者)しかラベルを作成できない(=一般ユーザーでは任意のラベルを作成できない)
- どのユーザーがラベルを設定できるか、付与できるかもラベル管理者が設定できる
- (ラベル管理者が設定すれば)ラベルに値が設定できる
- たとえば機密度というラベルで「高」「中」「低」が設定できます。リストから値を選ぶか、自由な値を設定できるようにするか、などもラベル管理者で指定が可能です。値に応じて色を変える「バッジ」も作成できます
- Google Workspaceの他機能との連携ができる
- 今回紹介するDLPのほか、ファイルを指定期間で保持や廃棄ができるGoogle Vaultと連携することもできます(特定ラベルが付いたファイルを一定期間保持するなど)。
もちろん検索のフィルタにラベルやその値を利用できるので、ファイルの整理・分類にも有効です。ですが今回はDLPとの連携だけにフォーカスしてご紹介したいと思います。
Google WorkspaceにおけるDLP機能
DLP(Data Loss Prevention)はデータ損失防止機能のことで、機密データが漏洩することを防ぐ機能です。Google WorkspaceではGoogleドライブやGoogleチャットのデータを対象にDLPのポリシーを適用することができます。
行えるアクションとして、すでに冒頭で紹介していますが
- 閲覧権限のユーザーのファイルのダウンロードや印刷をできなくする
- 外部共有をブロックする(設定できないようにする)
- 外部共有する場合に警告する
といった設定が行えます。
基本的にはデータを分類するためのパターンを定義、スキャンしてルールにマッチしたファイルにポリシーを設定する機能ですが、その代わりに特定のラベル(またはその値)にマッチした場合にポリシーを適用するよう設定することができます。パターンマッチさせる運用だとどうしても誤検出などが心配ですが、ラベルであれば任意のファイルに確実にポリシーを適用できるので、この点がラベルと連携させるメリットです。
また、逆にある条件にマッチしたファイルに指定したラベルを適用する、というDLPポリシーも作成できます。機密情報を自動的に認識してラベルを付けたい、という場合には有用ですね。
なおラベルもDLPも、Workspaceのサブスクリプションの種類によって使えるかどうかが異なります。
ご自身の組織で利用できるかどうかは以下の公式ドキュメントのエディション比較情報を元にご確認ください。
共有ドライブ単位でのアクセス制御と、ラベル+DLPでの制御の違い
さて実際のところ、「閲覧権限のユーザーのファイルのダウンロードや印刷をできなくする」「ファイルの外部共有をブロックする」といったアクセス制御は、ラベル機能とDLPの組み合わせを使わなくても共有ドライブ単位では設定が可能です。
ただ、当然のことながらその場合は共有ドライブ内のファイルが対象となります。すべてのファイルで同一のアクセス制御を適用したい場合にはこちらのほうが楽なので、利用状況によって使い分けるのが良いでしょう。逆にラベルは2024年10月現在はフォルダにも設定ができないので、「この場所に配置してあるファイルすべてにアクセス制御を適用したい」といった場合に利用するには不向きです。
実環境への導入
ざっくりラベルとDLP機能の概要について紹介しましたが、ここからはこの機能を実際に社内のGoogleドライブ環境にどう展開していくか、という話をしましょう。
ラベルの設計項目
すでに説明したとおり、Googleドライブのラベルは管理者が作成するもので、かつDLPやGoogle Vaultと連携できるため、導入にあたっては設計が必要です。
具体的には以下のような項目の検討が必要でしょう:
- そのラベルの利用目的
- ラベル権限の検討(付与・閲覧の権限を誰に与えるか)
- ラベルの継承ポリシー(ファイルをコピーした場合に継承するかどうか)
- ラベルと連携するDLP、Vaultのポリシー
Google Workspaceの管理画面でも、「どのラベルにどのDLPポリシーが紐づいているか」などは一目で確認するのは難しいので、以下のようにラベルの設定情報はNotionデータベースに集約して記録・管理することにしました。
導入スケジュール
上記の設計を行うことを念頭に、導入スケジュールを考えました。
ラベルの内容・目的によって検討のボリュームが異なったので、導入は以下のように3フェーズに分けることにしました。
- フェーズ1 : 全社員利用可能なファイル保護(アクセス制御)用の汎用ラベルをリリース ←今ココ
- フェーズ2 : 汎用で利用できるメタデータラベルをリリース
- フェーズ3 : 業務に特化した個別のラベルをリリース
各フェーズと分けた理由を以下軽く解説しておきます:
- フェーズ1のラベルは「外部共有不可」「閲覧者ダウンロード付加」といったものです。上で説明したDLPの機能にそのまま対応させたただけのラベルなので検討に時間を要さず、かつ誰でもアクセス制御できるのは有用なので先行してリリースすることにしました。ただ、誰でもラベルを設定できるということは逆に誰でもラベル削除もできてしまうので、重要なファイルについては管理者を絞った別ラベルの適用を別フェーズ(フェーズ3)で検討することにしました
- フェーズ2でリリースするメタデータ用のラベルは、たとえば「機密度」とか「作成年度」といったものを想定しています。ただ、管理者しかラベルを作れないので、どういったラベルが実際あったほうが良いかは少し検討が必要です。たとえば個人情報を識別するために「個人情報」というラベルを作ると良さそうですが、どのレベルで個人情報が記載されているとラベルを付加しなければいけないか?といったことで悩まないよう、ラベル名やルールを考える必要があります。また、内容によってDLPのポリシーの適用も検討が必要です。そういったわけで、こちらはフェーズ2としました
- フェーズ3はフェーズ1のところに書いたように、管理者を絞ったラベルの作成を想定しています。具体的にはそれぞれの業務に特化したラベルを作成。その業務に携わるメンバーにのみ管理権限を付与でき、DLPのポリシーも必要に応じて設定することも検討します。こちらは社内で業務のヒアリングを行って設計する必要があるため、最後のフェーズとして設定しています。
実は社内の運用の関係でフェーズ3に対応するラベルとして「契約済み締結書」のラベルを一つだけで先行してリリースしています。このラベルは契約の締結業務に関するメンバーしか設定ができず、DLPのポリシーとして外部共有や閲覧者のダウンロード制限が適用されています。
現状はフェーズ1の段階で、年内いっぱいをめどにフェーズ3まで完了できればと考えています。
おわりに
ということで、クラスメソッド社内でのGoogleドライブにおけるラベル+DLPルールによるアクセス制御運用のリリースについて、ざっくり解説してみました。正直Googleドライブのラベル自体は特に新しい機能というわけでもない(2021年にはリリースされてました)ですが、いままで活用できていませんでした。同じようにまだ利用しておらずこれから導入を検討している企業様の参考になればと思います。
ではでは。
